資源描述:
《《工學密碼學》ppt課件》由會員上傳分享,免費在線閱讀,更多相關內(nèi)容在教育資源-天天文庫。
1、第八章密鑰管理一、密鑰管理的基本概念二、密鑰生成與密鑰分發(fā)三、秘密共享與密鑰托管四、非線性序列2021/7/101一、密鑰管理的基本概念在先前的章節(jié),我們所關注的是采用何種密碼算法來實現(xiàn)數(shù)據(jù)的機密性、完整性、認證性。然而,在一個安全系統(tǒng)中,總體安全性依賴于許多不同的因素,例如算法的強度、密鑰的大小、口令的選擇、協(xié)議的完全性等,其中對密鑰或口令的保護尤其重要。根據(jù)Kerckhoff的假設,一個密碼系統(tǒng)的安全性完全取決于對密鑰的保密而與算法無關,即算法可以公開。簡單來說,不管算法多么強有力,一旦密鑰丟失或出錯
2、,不但合法用戶不能提取信息,而且可能會使非法用戶竊取信息??梢姡荑€的保密和安全管理在數(shù)據(jù)系統(tǒng)安全中是尤為重要的。2021/7/103密鑰管理是處理密鑰自產(chǎn)生到最終銷毀的整個過程中的有關問題,大體上講,密鑰管理包括密鑰的產(chǎn)生、裝入、存儲、備份、分配、更新、吊銷和銷毀等內(nèi)容,其中分配和存儲是最棘手的問題。在分布式系統(tǒng)中,人們已經(jīng)設計了用于自動密鑰分配業(yè)務的幾個方案。其中某些方案已被成功使用,如Kerberos和ANSIX.9.17,以及ISO-CCITTX.509目錄認證方案。2021/7/104密鑰管理涉
3、及的方面:密鑰的種類:初始密鑰,會話密鑰,加密密鑰,主機主密鑰;密鑰的生成密鑰的更換密鑰的存儲密鑰的銷毀密鑰的吊銷2021/7/105密鑰管理的原則密鑰管理是一個系統(tǒng)工程,必須從整體上考慮,從細節(jié)著手,嚴密細致地施工,充分完善的測試,才能較好地解決密鑰管理問題,為此,首先要弄清楚密鑰管理的一些基本原則。2021/7/106區(qū)分秘鑰管理的策略和機制全程安全原則最小權(quán)利原則責任分離原則密鑰分級原則密鑰更換原則密鑰應當有足夠的長度密碼體制不同,密鑰管理也不同2021/7/107二、密鑰生成與密鑰分發(fā)密鑰生成密鑰
4、是數(shù)據(jù)保密的關鍵,應采用足夠安全的方法來產(chǎn)生密鑰。在大型計算機密碼系統(tǒng)中常采用主密鑰、二級密鑰和初級密鑰三種不同等級的密鑰。針對不同的密鑰應采用不同的方法來產(chǎn)生。對于秘要的一個基本要求是要具有良好的隨機性,這主要包括長周期性、非線性、統(tǒng)計意義上的等概率性以及不可預測性等。高效的產(chǎn)生高質(zhì)量的真隨機序列,并不是一件容易的事。在實際中,我們針對不同的情況采用不同的隨機序列。2021/7/109單鑰加密體制密鑰生成主密鑰的產(chǎn)生。主密鑰應當是高質(zhì)量的真隨機序列,常采用物理噪聲源的方法,但不管是基于什么隨機源來產(chǎn)生密
5、鑰,都要經(jīng)過嚴格的隨機性測試,否則不能作為密鑰;二級密鑰的產(chǎn)生??梢韵癞a(chǎn)生主密鑰那樣產(chǎn)生真隨機的二級密鑰,也可以在主密鑰產(chǎn)生后,借助于主密鑰和一個強的密碼算法來產(chǎn)生二級密鑰;初級密鑰的產(chǎn)生。為了安全和簡便,通??偸前央S機數(shù)直接視為受高級密鑰(主密鑰或二級密鑰)加密過的初級密鑰。2021/7/1010單鑰加密體制的密鑰分配兩個用戶在使用單鑰體制進行通信時,必須預先共享秘密密鑰,并且應當時常更新,用戶A和B共享密鑰的方法主要有A選取密鑰并通過物理手段發(fā)送給B第三方選取密鑰并通過物理手段發(fā)送給A和BA,B事先已
6、有一密鑰,其中一方選取新密鑰,用已有密鑰加密新密鑰發(fā)送給另一方A和B分別與第三方C有一保密信道,C為A,B選取密鑰,分別在兩個保密信道上發(fā)送給A和B2021/7/1011單鑰加密體制的密鑰分配如果有n個用戶,需要兩兩擁有共享密鑰,一共需要n(n-1)/2的密鑰采用第4中方法,只需要n個密鑰2021/7/1012一個實例KS:一次性會話密鑰N1,N2:隨機數(shù)KA,KB:A與B和KDC的共享密鑰f:某種函數(shù)變換2021/7/1013公鑰的分配-公開發(fā)布用戶將自己的公鑰發(fā)給每一個其他用戶方法簡單,但沒有認證性,
7、因為任何人都可以偽造這種公開發(fā)布2021/7/1014公鑰的分配-公用目錄表公用的公鑰動態(tài)目錄表,目錄表的建立、維護以及公鑰的分布由可信的實體和組織承擔。管理員為每個用戶都在目錄表里建立一個目錄,目錄中包括兩個數(shù)據(jù)項:一是用戶名,而是用戶的公開密鑰。每一用戶都親自或以某種安全的認證通信在管理者處為自己的公開密鑰注冊。用戶可以隨時替換自己的密鑰。管理員定期公布或定期更新目錄。用戶可以通過電子手段訪問目錄。2021/7/1015公鑰的分配-公鑰管理機構(gòu)公鑰管理機構(gòu)為用戶建立維護動態(tài)的公鑰目錄。每個用戶知道管理
8、機構(gòu)的公開鑰。只有管理機構(gòu)知道自己的秘密鑰。2021/7/1016公鑰管理機構(gòu)分配公鑰有可能成為系統(tǒng)的瓶頸,容易受到敵手的串擾2021/7/1017公鑰證書用戶通過公鑰證書交換各自公鑰,無須與公鑰管理機構(gòu)聯(lián)系公鑰證書由證書管理機構(gòu)CA(CertificateAuthority)為用戶建立。證書的形式為:T-時間,PKA-A的公鑰,IDA-A的身份,SKCA-CA的私鑰時戳T保證證書的新鮮性,防止重放舊證書。2021/7/101